对国内杀软的技术分析

shulun743

我以金山、江民，瑞星和360以及腾讯
为例进行讲解，适时插入对其它杀软的看法！
江民有点日暮西山，主要讲的是市场和人气！技术方面，是中国最早研究主防的杀软，因为那年瑞星开发的2007主打虚拟脱壳，金山主打数据流杀毒，江民开发了类似卡巴的主防，确实惊掉了一地眼球，那是2007年啊，但是由于种种原因，江民落魄了，但是请相信百足之虫死而不僵！
至于金山、腾讯和360模式雷同都是云信誉加单步，就以360为代表吧，称为模式1！
第二种纯多步分析就称为模式二，代表微点！
下面我们要搞清楚的是何为主防？实现原理，及种类！
狭隘的HIPS和行为分析，也就是你们所说的单步和多步！其实这样说是不正确的，为何这样说呢？Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。所以说单步和多步都属于HIPS！HIPS是由注册表控制，文件控制，进程控制和网络控制四个子系统构成的，号称4D防御！如何实现这些控制呢？杀软就是靠驱动挂钩ssdt实现的！ssdt是什么？百度一下！
看看如何实现主防的？
杀软是通过驱动进入系统内核，并夺取系统控制权的，驱动通过挂钩ssdt和shadown ssdt以及inline的形式，来实现对系统函数的控制和拦截！
下面分析这几种挂钩不同：ssdt和shadown ssdt 是一样的，不同的是shadown对应的是没有ui界面的程序！
inline是一种更深层次的挂钩，和ssdt不同就是，若杀软挂钩ssdt，杀软进程崩溃后后，挂掉的只是杀软本身，对系统没有任何影响！若挂钩后者，杀软挂掉后，系统直接蓝屏！

ssdt挂钩代表：大多数杀软都是使用此类挂钩，并少量挂钩inline，只有三个例外！
例外一，微点！不知作何感想，全部inline HOOK相关函数，微点可有的蓝了！360是通过挂钩HookKiFastCallEntry调用实现挂钩的，同理还有金山！其他的包括瑞星、卡巴等都没有采重这种方式！
具体参考：http://m.baidu.com/from=2001a/bd ... IIikdTTPtBwIriXcLy7

参考国内区版规三，不符合技术原创标签，予以修改---by 七宝

shulun743

重复了

呵呵

shulun743

我已经讲了杀软如何通过挂钩实现系统控制权，下面重点讲述行为防御和狭隘的HIPS，即某些人所说的多步和单步！
在说单步和多步之前，我要说说文件和注册表以及程序控制的详细情况！
文件类防御主要是控制文件的创建、访问、删除和修改四中权限！注册表的操作和文件控制一样！程序的控制比较多有：结束进程、结束线程挂起进程，挂起线程！加载驱动，加载服务！调试权限，替换进程令牌，启动子程序，远程注入，读取其它进程内存等等，都是挂钩ssdt实现的，至于挂钩inline在此不再赘序，虽然此类挂钩更不容易被绕过，但是大部分杀软为了稳定性，只挂钩了少量的钩子，只有微点太疯狂了！
挂钩函数的作用，就好比是岗哨！以注册表控制为例，键值的创建  删除  修改和访问，这四种操作，在程序对注册表操作时，就拦住询问了，这就是哨兵-挂接ssdt函数的作用！文件的控制规则就是监控系统文件夹等，若操作这些被监控文件夹时，文件控制就会被触发，拦截询问！注册表规则就是程序启动项，系统么人程序，ie设置等等，若程序在修改注册表，若并修改启动项这些注册表规则等，就会拦截报警！程序控制同上！
这就是某些人所说的单步，即狭义的HIPS的工作原理！

所谓的多步，就是程序在触发文件、注册表以及程序控制时，只监控并不弹出拦截窗口，一直进行到判定为病毒时，才报警啊！至于判定规则，我举例：程序运行后，若枚举进程列表，获取内存中所运行的所有进程名称，继续监控，此进程查找杀软的进程名，进而试图结束杀软进程，这时杀软继续监控，因为还不足以判定是病毒，程序继续查找，QQ和一些游戏程序并进行相关操作然后杀软拦截报告发现病毒！行为引擎规则实际上就是做了个程序行为表格，触发了哪些动作，触发了几个动作，多个动作罗列，才会判定为病毒毒！这也是行为引擎误报很高的原因，正常的程序也会干这些事，小偷吃饭，好人也吃啊，总不能因为好人吃饭就判定为小偷吧！所以开发此类引擎很麻烦，需要不听优化这些规则，降低误报！

单步和多步的哨兵是一样的～驱动挂钩是相同的，希望大家不要混淆！

已经讲了单步和多步的原理，下面讲讲杀软的技术情况！

前面李静说了360和金山腾讯技术雷同，以数字为例吧！360只有一个单步，并且是配合云的单步，并且360的单步严重不全，主要是程序控制这块，只有进程运行防御和驱动加载防御这两项！360的工作原理就是对进程查询安全信息，是否有数字签名或md5是安全的。若是的话，就自动放行，不再弹出拦截窗口！反之，程序既没有签名，并且未查询到MD5安全信息？就拦截询问！360没有行为分析引擎，只有连接云自动放行的单步，并利用云端适时云鉴定判断程序安全性，来提升单步云的易用性，来弥补没有行为引擎的弊端！在这里360号称是云端行为分析，实际上不不是行为分析引擎，就是个云鉴定，判断是不是病毒的人工智能！
金山和360不同的是，有火眼！

云鉴定系统到底为何物？看很多人说，360用户近4亿，水分真大，都快咬死我了！呵呵，开个玩笑，号称5分钟，解决新病毒，说一个新病毒被做出来，在网上只有5分钟的存活时间，我不禁笑了！！！呵呵呵，开玩笑嘛！五分钟这是不可能的！
用户群大，在理论上来说劫获病毒多，病毒收集快，但分析速度就慢了！

sjneng

lz。

辛苦了、、、

shulun743

原因很简单，病毒收集能力，就靠爬虫系统和启发引擎，再有就是云鉴定了？我不仅要问了啊？能做到100收集率吗？启发引擎能做到100发现吗？查杀率能达到多少？百锐的启发能达到多少？有很多很多的纯启发引擎啊，大家都逛论坛，发现查杀率是多少了吗？没有高于70的吧？？？不是打击你们，能达到50就不错了！！！所以病毒收集系统收集病毒，有可能最大的收集量来自云鉴定！其策略生效了，感谢好的策略～非百即灰这就是360的策略！进行云查杀时，查询MD5，若有未知的MD5，就判定为有风险的文件，就这样病毒样本被上传了！这时过去了10秒，样本从客户端被传走了！接着qvm不一定就能确定是病毒吧？没有完美的引擎，世界上没有100完美的事！就连世界先进的大蜘蛛启发和nod32也做不到！何为云鉴定？说白了就是集合重家之长，扫描器就是卡巴，江民，金山的扫描器集合。启发扫描器由nod32、瑞星启发、大蜘蛛等等构成！行为分析就有卡巴、诺顿等引擎构成，至于云引擎则就有金山、腾讯等引擎构成！当然厂商开发多少个云鉴定器？鉴定器有哪些杀软引擎，都有厂商自己的打算，在这里只是举例说明罢了！这些就是所谓的云鉴定，由扫描，启发云查杀等鉴定器综合打分，判断是否是病毒？为了控制误报，厂商开发此类鉴定系统时，进行了严格限制，宁愿漏杀一千，不可误杀一个！因此很多文件被转人工了！金山的90秒云鉴定不就是这样的那？？？这就是云鉴定！！！人工就不说了！若一切顺利啊，病毒啊刚出生，就被截获了，然后分析又确认了，够快吧，假设出生到确认就用了2分钟，时间不多吧？不过分吧？？？你认为误报测试3分钟能做完？？？那可是几百甚至上千上万G的白文件！！！若扫描过程中发现病毒，那这个报毒文件，会被人工分析原因！！！白文件被报毒可不是闹着玩的！！！最后解决问题，哎别急，我们还要升级病毒库还有云库！！！

到这里才算全部完成，你认为多长时间合适呢？？？5分钟够了吗？

金山的云以及主防和360类似，都是程序控制严重不全，呵呵不说了！！！
金山的云鉴定和360一样，甚至比360还要先进，毕竟金山起跑的早！

腾讯的也差不多！

瑞星的不是很了解，只知道能利用云和签名自动放行，系统加固以前很好，不弱于卡巴，只是新款的取消了程序控制，能力下降很大！！！呵呵，这帮人瞎搞！！！幸好不影响行为引擎，但是为了降低误报，大幅优化了规则，很安静了！！！没有以前报的那么生猛了，和微点的不相上下！！！

微点的主防没云，感觉行为分析已经到顶了！！！


云也分析了，主防工作原理也说明了

接下来说说自保吧？？？

杀软的自保能力是一样的

因为在内核中同级对抗是没有意义的！！！

所以防御水平都是一样的，只不过很多杀软为了某些原因做了对ark软件的防御，这也是为何冰刃  狙剑等内核级进程管理工具无法结束某些杀软的进程的原因！

都是面子工程，你想啊在恶软面前都是一个数量级，有意思吗？？？

碰上木马群  av终结者  鬼影等   中招的电脑，杀软不都趴下了吗？？？

这也是各大家，严控驱动加载的原因！！！

防止病毒通过驱动加载进入内核和杀软争夺系统控制权，就像严打，防止歹徒有枪，你懂的！

最后说说评测，其实评测的真实成绩都差不多，各家技术也相差不大！！！像vb100什么的，只要付费就可以拿到样本，到时评测你懂的！卡巴和趋势的声明，你也懂得！！！

不要相信宣传，都是广告，使用哪家的产品，就看看人人的喜好，使用习惯，大家的技术查杀率都差不多！

救命稻草

观摩，看看

谢新

谬误还挺多，别的不说，单单云鉴定那块你认为是许多杀软的结合体，金山这绝对不是。另外云引擎的效率很高。对比卡巴病毒分析人数就知道了

怎么样了

原创呀？

李静是谁呀

shulun743

谢新 发表于 2013-7-19 08:25
谬误还挺多，别的不说，单单云鉴定那块你认为是许多杀软的结合体，金山这绝对不是。另外云引擎的效率很高。 ...

云鉴定器的工作原理就是那样的，我没说云的效率低啊

shulun743

shulun743 发表于 2013-7-19 08:36
云鉴定器的工作原理就是那样的，我没说云的效率低啊

谬误还挺多？？？？

有哪些